Nova študija ugotavlja, da je 5 od vsakih 6 usmerjevalnikov neustrezno posodobljenih zaradi varnostnih napak

Nova študija ameriške potrošniške neprofitne organizacije je pokazala, da je pet od šestih domačih usmerjevalnikov neustrezno posodobljenih zaradi varnostnih napak, zaradi česar so naprave in posredno njihovi uporabniki ranljivi za vdore.

Izvaja Ameriški inštitut za potrošnike (ACI), študij analiziral vzorec 186 SOHO (majhne pisarne/domače pisarne) Wi-Fi usmerjevalnikov 14 različnih prodajalcev, ki so prisotni na ameriškem trgu.

Strokovnjaki ACI so pregledali različico vdelane programske opreme, ki jo uporabljajo usmerjevalniki, in preiskali javne zbirke podatkov o ranljivostih za znane varnostne napake, ki vplivajo na vdelano programsko opremo vsake naprave.

"Skupaj je bilo v vzorcu najdenih osupljivo število 32.003 znanih ranljivosti," so povedali strokovnjaki ACI v študiji, objavljeni prejšnji teden.

"Naša analiza kaže, da je bilo od 186 vzorčenih usmerjevalnikov 155 (83 odstotkov) ugotovljeno, da so ranljivi za morebitne kibernetske napade v vdelana programska oprema usmerjevalnika s povprečno 172 ranljivostmi na usmerjevalnik ali 186 ranljivostmi na usmerjevalnik za identificiranih 155 usmerjevalnikov," ACI povedali strokovnjaki.

Od skupno 32.003 varnostnih napak je bila več kot četrtina ranljivosti, ki so prejele dve najvišji oceni resnosti, in sicer »kritično« oziroma »visoko tveganje«.

"Naša analiza kaže, da so usmerjevalniki v celotnem vzorcu v povprečju vsebovali 12 kritičnih ranljivosti in 36 ranljivosti z visokim tveganjem," so povedali raziskovalci.

To so osupljivo velike številke.

Strokovnjaki ACI so dejali, da je uporaba odprtokodnih knjižnic eden glavnih razlogov za prisotnost varnostne napake v vdelani programski opremi usmerjevalnika, saj vdelana programska oprema pogosto podeduje ranljivosti svojega manjšega komponente.

tudi: NSA pravi, da je iskanje podatkov Američanov leta 2017 močno naraslo

Poleg tega pomanjkanje mehanizmov za samodejno posodabljanje mnoge od teh naprav ohranja v ranljivem stanju ali dokler uporabnik ni opozorjen, posodobite vdelano programsko opremo, običajno po velikem vdoru v usmerjevalnik, kot je pojav zlonamerne programske opreme Mirai in VPNFilter.

Čeprav so nekateri proizvajalci usmerjevalnikov začeli dodajati mehanizme za samodejno posodabljanje nedavnim modelom, bodo trajala leta, dokler te nove različice ne zamenjajo starejši modeli, v tem času pa bodo starejši modeli usmerjevalnikov SOHO še naprej ogrožali uporabnike, pa tudi vse naprave IoT, ki so z njimi povezane.

»Ohranjanje vdelane programske opreme za znane spletne grožnje je lahko strošek za proizvajalce, vendar tega ne počnejo prepušča potrošnikom, da kolektivno nosijo breme potencialno veliko višjih stroškov kibernetske kriminalitete,« strokovnjaki ACI rekel.